Neuerungen in IPsec

Solaris 10 4/09: Ab dieser Version wird IPsec in der Service Management Facility (SMF) als Satz verschiedener Services verwaltet.

Standardmäßig werden beim Booten des Systems zwei IPsec-Services aktiviert:

• svc:/network/ipsec/policy:default

• svc:/network/ipsec/ipsecalgs:default

Standardmäßig sind die Schlüsselmanagement-Services beim Booten des Systems deaktiviert:

• svc:/network/ipsec/manual-key:default

• svc:/network/ipsec/ike:default

Gehen Sie wie folgt vor, um die IPsec-Richtlinien in SMF zu aktivieren:

1. Fügen Sie der Datei ipsecinit.conf IPsec-Richtlinieneinträge hinzu.

2. Konfigurieren Sie die Internet Key Exchange (IKE), oder konfigurieren Sie die Schlüssel manuell.

3. Aktualisieren Sie den Service für die IPsec-Richtlinie.

4. Aktivieren Sie den Schlüsselmanagement-Service.

Weitere Informationen zu SMF finden Sie in Kapitel 18, Managing Services (Overview) in System Administration Guide: Basic Administration. Lesen Sie hierzu auch die Manpages smf(5) und svcadm(1M).

Ab dieser Version steht für die Befehle ipsecconf und ipseckey die Option -c zur Verfügung. Hiermit wird die Syntax der jeweiligen Konfigurationsdateien überprüft. Außerdem wird das neue Rechteprofil für das Netzwerk-IPsec-Management bereitgestellt. Dies wird zur Verwaltung von IPsec und IKE benötigt.

Solaris 10 7/07: Ab diesem Release implementiert IPsec vollständig Tunnel im Tunnelmodus. Die Dienstprogramme, die Tunnel unterstützen, wurden modifiziert.

• IPsec implementiert Tunnel im Tunnelmodus für virtuelle private Netzwerke (VPNs). Im Tunnelmodus unterstützt IPsec mehrere Clients hinter einem einzelnen NAT. Im Tunnelmodus kann IPsec mit Implementationen von IP-in-IP-Tunneln von anderen Anbietern zusammenarbeiten. IPsec unterstützt weiterhin Tunnel im Transportmodus, ist also mit früheren Solaris-Releases kompatibel.

• Die Syntax zum Erzeugen eines Tunnels wurde vereinfacht. Zur Verwaltung der IPsec-Richtlinie wurde der Befehl ipsecconf erweitert. Der Befehl ifconfig zur Verwaltung der IPsec-Richtlinie wird nicht unterstützt.

• Ab diesem Release ist die Datei /etc/ipnodes nicht mehr vorhanden. Verwenden Sie die Datei /etc/hosts zur Konfiguration der IPv6-Netzwerkschnittstellen.

Solaris 10 1/06: Ab diesem Release ist IKE vollständig konform mit NAT-Traversal-Unterstützung gemäß der Normen RFC 3947 und RFC 3948. IKE-Operationen nutzen die PKCS #11-Bibliothek des Solaris Cryptographic Framework (SCF), was die Leistung verbessert.

Das Kryptographie-Framework stellt einen Softtoken-Schlüsselspeicher für Anwendungen bereit, die den Metaslot verwenden. Wenn IKE den Metaslot verwendet, können Sie die Schlüssel auf einer Festplatte, einem angehängten Board oder im Softtoken-Schlüsselspeicher speichern.

• Informationen zur Verwendung des Softtoken-Schlüsselspeichers finden Sie in der Manpage cryptoadm(1M).

• Eine vollständige Liste der neuen Funktionen in Solaris sowie eine Beschreibung der Solaris-Versionen finden Sie in Neuerungen in Oracle Solaris 9 10/10.